人民網北京1月22日電(張玫) 21日，中國清算協會官網發布消息，為規范人臉識別線下支付應用創新，防范“刷臉”支付安全風險等，中國支付清算協會組織制定了《人臉識別線下支付行業自律公約(試行)》。

當前人臉識別廣泛應用于金融領域。根據廣恒證券2019年發布的人臉識別報告，金融領域中的人臉識別，主要用途分為身份核驗和場景規模化應用。

身份核驗，也稱作1:1刷臉，廣泛地被應用于互聯網金融、銀行的遠程開戶、遠程身份認證、遠程支付，通過“刷臉”的方式進行校驗。

場景規模化應用也稱作 1:N刷臉，多用在刷臉支付、取款等。其中，人臉識別在銀行領域的業務點主要有私有云部署、智慧網點改造、自助機具改造、網點 VIP、智慧網點改造等方面。

盡管人臉識別應用廣泛，但由于人臉的弱隱私性，一旦用戶的臉部生物信息被“黑產”從業者加以利用，通過“換臉”等手段侵入獲取其個人隱私，則用戶將難以保障個人信息和財產安全。

中央財經大學教授黃震此前接受人民網記者采訪時表示，“在‘刷臉’支付的過程中存在用戶信息過度采集的情況，只要一‘刷臉’就能和個人的身份驗證等信息相關聯，這就存在個人隱私被侵犯的風險。一定要高度關注這方面的風險。”

針對“刷臉”支付行業當前存在的一些安全風險，此次《自律公約》提出“設置單筆及日累計交易限額”“建立刷臉支付突發事件應急處理機制”“建立健全風險撥備資金、保險計劃、應急處置等風險補償機制”“對不能有效證明因用戶原因導致的資金損失及時先行賠付”等條款，在一定程度上規范行業行為，降低個人信息泄露風險。

以下為《人臉識別線下支付行業自律公約(試行)》全文：

第一章 總則

第一條 為規范人臉識別線下支付(以下簡稱刷臉支付)應用創新，防范刷臉支付安全風險，保障會員單位合法權益，維護社會公眾利益。經會員單位共同協商，制定本公約。

第二條 會員單位開展刷臉支付應嚴格執行國家及金融行業的有關法律法規、技術規范，自覺遵守協會各項自律制度規范，在平等、自愿、公平和誠信的原則下開展服務。

第三條 本公約所稱刷臉支付是指線下特約商戶通過專用受理終端采用人臉識別技術為用戶提供的支付服務。

第四條 公約適用于開展刷臉支付的各會員單位，包括在刷臉支付中提供賬戶管理、轉接清算、收單等服務的會員單位。

第五條 會員單位應確保其在刷臉支付中使用的活體檢測、人臉識別等技術指標滿足金融行業相關要求。

第二章 安全管理

第六條 會員單位應建立人臉信息全生命周期安全管理機制。在采集環節，要堅持“用戶授權、最小夠用”，明確告知用戶信息使用目的、方式和范圍，并獲得用戶授權，避免與需求無關的特征采集。在存儲環節，將原始人臉信息加密存儲，并與銀行賬號或支付賬號、身份證號等用戶個人隱私進行安全隔離。在使用環節，收單機構、商戶等中間環節不得歸集或截留原始人臉信息，實現端到端的個人隱私保護。

第七條 會員單位應根據用戶意愿，為其提供開通或關閉刷臉支付服務。用戶開通刷臉支付時，會員單位應以顯著方式提示用戶注意服務協議中與其有重大利害關系的事項，采取有效方式確認用戶充分知曉并清晰理解相關權利、義務和責任，提示方式包括但不限于隱私政策、格式條款、短信提示等。

第八條 用戶進行刷臉支付時，會員單位應采用支付口令或其他可靠的技術手段(通過國家統一推行的金融科技產品認證)實現本人主動確權，保障用戶的知情權、財產安全權等合法權益。

第九條 會員單位應確保處理刷臉支付業務的信息系統滿足物理安全、網絡安全、主機安全、應用安全、數據備份等國家、金融行業安全規范要求。

第十條 從事刷臉支付收單服務的會員單位應嚴格遵守《銀行卡收單業務管理辦法》(中國人民銀行公告〔2013〕第9號公布)、《非銀行支付機構網絡支付業務管理辦法》(中國人民銀行公告〔2015〕第43號公布)、《中國人民銀行關于進一步加強銀行卡風險管理的通知》(銀發〔2016〕170號)、《中國人民銀行關于加強銀行卡收單業務外包管理的通知》(銀發〔2015〕199號)等管理要求，承擔收單環節支付敏感信息安全管理責任，不得將核心業務系統運營、受理終端密鑰管理、特約商戶資質審核等工作交由外包服務機構辦理。

第十一條 會員單位開展刷臉支付業務涉及跨行交易的，應當通過中國人民銀行跨行清算系統或具備合法資質的清算機構處理。

第十二條 提供賬戶管理、收單服務的會員單位開展刷臉支付業務應遵守和符合清算機構關于刷臉支付業務聯網通用的規則等要求。

第三章 終端管理

第十三條 會員單位布放或接入的刷臉支付受理終端應符合國家和金融行業相關標準，并通過國家統一推行的金融科技產品認證。

第十四條 會員單位布放或接入的刷臉支付受理終端應按照《中國人民銀行關于強化銀行卡受理終端安全管理的通知》(銀發〔2017〕21號)等要求進行登記注冊管理。

第十五條 會員單位布放和接入的刷臉支付受理終端應遵循金融行業管理及自律有關規定，支持刷臉支付業務互聯互通，避免一柜多機，維護市場良好秩序，促進產業可持續發展。

第十六條 會員單位應建立覆蓋刷臉支付受理終端開通、使用、更換、維護、撤銷等各環節的風險管理制度，建立刷臉支付受理終端定期巡檢制度，加強對刷臉支付受理終端的風險控制，及時發現和排除風險隱患。

第四章 風險管理

第十七條 會員單位應建立交易風險監控模型和系統，有效監測可疑交易和異常行為，及時進行分析處置，保障交易安全。

第十八條 會員單位應按照銀行卡收單業務管理相關監管規定，加強刷臉支付特約商戶資質審核和日常管理，建立健全商戶風險評級管理制度及黑名單管理制度，建立刷臉支付特約商戶檢查制度。

第十九條 會員單位應結合用戶信用狀況、風險程度等因素，對用戶刷臉支付可開通的交易類型進行限制，通過協議約定交易限額，并采取有效風控措施保障交易和用戶資金安全。

第二十條 會員單位應結合特約商戶風險等級及交易類型等因素，設置或與其約定刷臉支付單筆及日累計交易限額。

第二十一條 中國支付清算協會、清算機構應將刷臉支付特約商戶納入特約商戶信息管理系統及黑名單管理機制。拓展特約商戶時，提供收單服務的會員單位應進行查詢確認，并按規定向中國支付清算協會、清算機構特約商戶信息管理系統、風險信息管理系統報送特約商戶基本信息及其風險信息。

第二十二條 會員單位應建立刷臉支付突發事件應急處理機制，及時有效化解刷臉支付風險。

第二十三條 會員單位應及時向監管部門和中國支付清算協會報告刷臉支付業務開展情況、市場發展動態及發生的重大風險事件等信息。

第五章 用戶權益保護

第二十四條 會員單位應建立用戶刷臉支付投訴處理流程，明確投訴受理責任部門和責任人，向客戶告知客服電話、在線客服等受理投訴的渠道。

第二十五條 會員單位應及時處理客戶提出的差錯爭議和投訴，建立健全風險撥備資金、保險計劃、應急處置等風險補償機制，對不能有效證明因用戶原因導致的資金損失及時先行賠付。

第二十六條 會員單位應建立用戶刷臉支付安全教育制度及流程，培養用戶良好的刷臉支付安全習慣。

第六章 附則

第二十七條 本公約與國家法律、法規和監管部門規章不一致的，依照有關法律、法規和監管部門規章執行。

第二十八條 本公約由中國支付清算協會負責解釋和修訂。

第二十九條 中國支付清算協會組織對會員單位公約執行情況的監督檢查，對于違反公約的行為可根據《中國支付清算協會自律懲戒實施辦法》實施自律懲戒。

第三十條 本公約自中國支付清算協會發布之日起實施。